Schutzbedarfsanalyse

Digitale Dokumentation mit dem SAVISCON GRC-COCKPIT

Was ist die Schutzbedarfsanalyse?

Die Schutzbedarfsanalyse ist ein Teil des IT-Sicherheitskonzepts nach dem IT-Grundschutz. Anhand der drei Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit müssen alle Unternehmens-Assets analysiert und deren Schutzbedarf dokumentiert werden. Der Schutzbedarf misst sich an den potenziellen Schäden, die mit der Beeinträchtigung des betroffenen Assets einhergehen. Im ersten Schritt wird der Schutzbedarf von den Geschäftsprozessen und Anwendungen bestimmt. Dieser ermittelte Schutzbedarf vererbt sich dann im Anschluss auf die einzelnen Objekte, wie beispielsweise die IT-Systeme, Räume und Kommunikationsverbindungen (Vererbungsprinzipien). Bei der Schutzbedarfsanalyse wird in drei Schutzkategorien unterschieden: „normal“, „hoch“ und „sehr hoch“. In welche der Kategorien ein Objekt fällt, muss mit den Vererbungsprinzipien begründet werden. Es gibt das Maximumprinzip, den Verteilungseffekt und den Kumulationseffekt.

IT-Sicherheit mit dem GRC-COCKPIT

Mit dem GRC-COCKPIT, dem webbasierten Informationsmanagement-System (ISMS) der SAVISCON GmbH, können IT-Sicherheitsmanager Einträge für die Assets des Unternehmens anlegen. Darin halten sie fest, in welche Schutzbedarfskategorie die Assets fallen und mit welchem Vererbungsprinzip dies zu begründen ist. Darüber hinaus können sie die Assets mit Unternehmensrisiken und den dazugehörigen Maßnahmen verknüpfen. So stärken sie die IT-Sicherheit des Unternehmens.

Wir haben mit dem GRC-COCKPIT die Schutzbedarfsanalyse für das fiktionale Unternehmen RECPLAST GmbH abgebildet, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Leben gerufen wurde. Damit Sie sehen, wie die Schutzbedarfsanalyse mit dem SAVISCON GRC-COCKPIT funktioniert, haben wir ein Webinar für Sie aufgezeichnet, das Sie sich jederzeit ansehen können:

Jetzt ausfüllen und Webinar sofort ansehen:

Schutzbedarf normal

Die Schadensauswirkungen sind begrenzt und überschaubar.

Verstoß gegen Gesetze/ Vorschriften/Verträge	Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen
Beeinträchtigung des informationellen Selbstbestimmungsrechts	Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann.
Beeinträchtigung der persönlichen Unversehrtheit	Eine Beeinträchtigung erscheint nicht möglich.
Beeinträchtigung der Aufgabenerfüllung	Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit liegt zwischen 24 und 72 Stunden.
Negative Innen-oder Außenwirkung	Eine geringe bzw. nur interne Ansehens-oder Vertrauensbeeinträchtigung ist zu erwarten.
Finanzielle Auswirkungen	Der finanzielle Schaden bleibt für die Institution tolerabel.

Schutzbedarf hoch

Die Schadensauswirkungen können beträchtlich sein.

Verstoß gegen Gesetze/ Vorschriften/Verträge	Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen Vertragsverletzungen mit hohen Konventionalstrafen
Beeinträchtigung des informationellen Selbstbestimmungsrechts	Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann.
Beeinträchtigung der persönlichen Unversehrtheit	Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.
Beeinträchtigung der Aufgabenerfüllung	Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt. Die maximal tolerierbare Ausfallzeitliegt zwischen einer und 24 Stunden.
Negative Innen-oder Außenwirkung	Eine breite Ansehens-oder Vertrauensbeeinträchtigung ist zu erwarten.
Finanzielle Auswirkungen	Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend.

Schutzbedarf sehr hoch

Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Verstoß gegen Gesetze/ Vorschriften/Verträge	Fundamentaler Verstoß gegen Vorschriften und Gesetze Vertragsverletzungen, deren Haftungsschäden ruinös sind
Beeinträchtigung des informationellen Selbstbestimmungsrechts	Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist.
Beeinträchtigung der persönlichen Unversehrtheit	Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben.
Beeinträchtigung der Aufgabenerfüllung	Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde.
Negative Innen-oder Außenwirkung	Eine landesweite Ansehens-oder Vertrauensbeeinträchtigung, eventuell sogar existenzgefährdender Art, ist denkbar.
Finanzielle Auswirkungen	Der finanzielle Schaden ist für die Institution existenzbedrohend.

Quelle: BSI-Standard 200-2

Das Fundament: DIN ISO 27001 & BSI-Standard 200-2

Das Fundament für die Schutzbedarfsanalyse bilden die DIN ISO 27001, in der der Aufbau eines Informationsmanagement-Systems (ISMS) beschrieben wird, sowie der BSI-Standard 200-2 IT-Grundschutz-Methodik.

Das BSI definiert drei unterschiedliche Schutzbedarfskategorien: normal, hoch und sehr hoch. Um diese Kategorien besser voneinander abgrenzen zu können, bietet sich die Betrachtung anhand von Schadensszenarien an (siehe Tabelle).

Vererbungsprinzipien

Maximumprinzip

Um den Schutzbedarf von einem Objekt zu bewerten, müssen alle Teilobjekte betrachtet werden. Bei IT-Systemen wären das dann beispielsweise die möglichen Folgen, die Schäden für darauf betriebene Anwendungen und den damit verarbeiteten Informationen haben. Hier bestimmt der Schaden bzw. die Summe der Schäden den endgültigen Schutzbedarf des Objekts.

Kumulationseffekt

Wenn beispielsweise auf einem IT-System mehrere Anwendungen laufen, ist es wichtig zu überprüfen, ob durch die Kumulation von mehreren kleinen Schäden auf einem IT-System ein insgesamt höherer Gesamtschaden zu erwarten wäre. Sollte dies der Fall sein, würde sich der Schutzbedarf des IT-Systems erhöhen.

Verteilungseffekt

Andersherum ist dies genauso möglich. So kann es sein, dass eine hoch bewertete Anwendung ihren Schutzbedarf nicht auf das betrachtete IT-System überträgt. Das liegt dann beispielsweise daran, dass auf diesem IT-System nur die unwesentlichen Teilbereiche der Anwendung laufen. Daher ist der Schutzbedarf in diesem Fall zu relativieren.

Achtung: Vergessen Sie bei der Betrachtung nicht die Abhängigkeiten von Anwendungen in Ihre Bewertung mit einzubeziehen! Wenn beispielsweise eine für sich betrachtete Anwendung einen normalen Schutzbedarf aufweist, aber ihre Ergebnisse wichtig für den Ablauf von einer weiteren sehr hoch bewerteten Anwendung sind, so erhöht sich natürlich auch der Schutzbedarf der ersten.

Asset Management & Schutzbedarfsanalyse mit dem GRC-COCKPIT

Das SAVISCON GRC-COCKPIT ist das digitale Tool für ein strukturiertes und durchgängiges GRC-Management. Es deckt alle wichtigen Themen ab, wie zum Beispiel IT-Sicherheit und Datenschutz und verfügt dabei, auf Wunsch, über die vom BSI lizenzierten IT-Grundschutz-Inhalte. Werfen Sie einen Blick in den Bereich Asset Management mit Schutzbedarfsanalyse von der fiktiven RECPLAST GmbH im GRC-COCKPIT:

1 2 3 4 5 6 7

Screenshot Beschreibung Schutzbedarfskategorien

Screenshot GRC-COCKPIT Schutzbedarfsfeststellung

Screenshot Beispiel Schutzbedarfsanalyse

Berichtswesen

Im SAVISCON GRC-COCKPIT erhalten Sie Ihren Bericht zur Schutzbedarfsanalyse mit einem Klick. Dieser Bericht wird aus den aktuellen Informationen, die Sie in die Software eingegeben haben, automatisch generiert. Dazu gehören sämtliche Assets mit ihren Grundwerten, Schutzbedarfen sowie Beschreibungen.

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447

E-Mail: info@saviscon.de

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt